2 สิงหาคม 2568 สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือ สคส. แถลงบทลงโทษ "โรงพยาบาลเอกชนขนาดใหญ่" ทำข้อมูลเวชระเบียนผู้ป่วยรั่วไหล แล้วเอกสารดังกล่าวถูกนำไปเป็นซองขนมโตเกียว เกิดเป็นข่าวและกระแสในสื่อสังคมออนไลน์

จากการตรวจสอบพบว่า โรงพยาบาลดังกล่าว ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ทำสัญญากับกิจการขนาดเล็กซึ่งมีลักษณะเป็นธุรกิจครอบครัว ให้ทำหน้าที่ทำลายเอกสารเวชระเบียนดังกล่าว แต่ไม่ได้มีการติดตาม ควบคุม หรือตรวจสอบกระบวนการให้เป็นไปตามมาตรฐานที่กำหนด ทำให้เอกสารเวชระเบียนกว่า 1,000 ฉบับรั่วไหล

ในส่วนของเอกชน (บุคคลธรรมดา) ผู้รับจ้างทำลายเอกสาร ก็ได้นำเวชระเบียนที่ได้รับจากโรงพยาบาลกลับไปพักไว้ที่บ้านของตนเอง โดยไม่ได้ดำเนินการตามขั้นตอนที่ตกลงไว้ และไม่ได้แจ้งเหตุการรั่วไหลให้โรงพยาบาลทราบ จึงเข้าข่ายเป็นการไม่ปฏิบัติตามหน้าที่ของผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) อันนำไปสู่บทลงโทษครั้งนี้

เหตุการณ์นี้แบ่งการลงโทษออกเป็น 2 กรณี

บทลงโทษที่ 1 - โรงพยาบาล ในฐานะของผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) ถูกลงโทษปรับ 1,210,000 บาท

บทลงโทษที่ 2 - บุคคลธรรมดา ในฐานะผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) ถูกลงโทษปรับ 16,940 บาท

รวมมูลค่าการลงโทษปรับทางปกครองกว่า 1,226,940 บาท

จากเหตุการณ์ครั้งนี้ แสดงให้เห็นแล้วว่า PDPA เอาจริงกับทุกภาคส่วนแล้ว ไม่ว่าจะเป็นหน่วยงานภาครัฐ หรือเอกชน หากยังละเลยการปฏิบัติตามกฎหมาย บทลงโทษครั้งถัดไปอาจเป็นคุณ

ภาพจาก กระทรวงการอุดมศึกษา วิทยาศาสตร์ วิจัยและนวัตกรรม